Titkosítás, biztonság, privát szféra

A javában folyó kanadai CanSecWest konferencia adott otthont az idei Pwn2Own biztonsági versenynek. A nevezettek megmutatták, hogy hogyan tudnak feltörni egy nem jailbreak-elt iPhone-t, egy OS X-en futó Safari-t, egy Windows 7-en futó IE8-at és Firefox-ot.

Idén is lesz Pwn2Own verseny. A helyszíne a március 24-én kezdődő kanadai CanSecWest konferencia. A Pwn2Own 2010-re regisztrálás útján lehetett jelentkezni, a jelentkezők közt fél órás időszakokat (time slot) soroltak ki. A sorsolás eredménye határozza meg a versenyzők sorrendjét. A sorsolásból kiderül, hogy kik jelentkeztek a megmérettetésre és mi ellen nyomulnak.

A H Security egyik cikkében arról számol be, hogy a "JDuck" névre hallgató hacker nemrég felfedezett egy olyan speciálisan, rosszindulatúan összeállított PDF fájlt, amely a relatíve újnak számító Return Oriented Programming (ROP) technikát használja fel arra, hogy a kicselezze a Data Execution Prevention (DEP) névre hallgató biztonsági mechanizmust. A cikk szerint ez azt vetíti előre, hogy a DEP-pel biztosítani kívánt megbízható védelem napjai meg vannak számlálva.

A SecurityFocus weboldal elindulásától, 1999-től szolgálta a biztonsággal foglalkozó közösséget. Saját híranyagokat, részletes dokumentumokat készített, vendégszerkesztők írásait publikálta stb. A SecurtiyFocus azon elgondolás mentén jött létre, hogy a közösségnek szüksége van egy olyan helyre, ahol összejöhet és megoszthatja tudását. Akkoriban a biztonsággal foglalkozó közösség fragmentált volt, nem volt egyetlen olyan hely sem, amely ezt biztosította volna, így a SecurityFocus hiánypótló volt.

Az eltelt több mint 10 év során jelentősen megváltozott a helyzet. Egyre több helyről érhetők el információk. Blogbejegyzések, fenyegetettségi elemzések, technikai dokumentációk látnak napvilágot és a gyártók is egyre inkább nyitottak arra, hogy a közösséggel együttműködve oldják meg napjaik biztonsági problémáit.

A Panda Security blogjában lehet arról olvasni, hogy egy újabb vállalatot kaptak azon, hogy (feltehetően nem akarattal) malware-t terjesztett termékével az ügyfeleihez. A blog szerint az egyik kollégájuk egy Android-os Vodafone HTC Magic-et kapott. Amint a készüléket a számítógépéhez csatlakoztatta, a Panda antivírus azonnal jelzett: autorun.inf, autorun.exe. A közelebbi vizsgálat után kiderült, hogy a malware valójában a Mariposa botnet kliense. A részletek itt. A Mariposa botnet-tel kapcsolatban nemrégiben letartóztatásokat eszközölt a spanyol rendőrség.

Idén is megrendezésre kerül a CansecWest konferencia keretében a Pwn2Own verseny. Minden évben nagy értékű díjakkal jutalmazzák azokat a biztonsági szakértőket, akik kihasználható sebezhetőségeket találnak népszerű operációs rendszerekben, böngészőkben és mobil platformokban.

A oneitsecurity.it weboldal interjút készített az elmúlt két évben sikerrel szereplő Charlie Millerrel, aki korábban elsőként törte fel az iPhone és Android mobil platformokat is. Részlet az interjúból:

Aaron Portnoy, a Tippingpoint Technologies biztonsági kutatócsapatának vezetője bejelentette, hogy idén is lesz Pwn2Own verseny. A verseny helyszíne a március végén (24-26) megrendezésre kerülő CanSecWest 2010 konferencia lesz. Idén immár negyedik alkalommal jönnek össze a biztonsággal foglalkozó kutatók, hogy sebezhetőségeket keressenek operációs rendszer + böngésző párosokon, illetve mobiltelefon operációs rendszereken. A verseny összdíjazására szánt összeget felemelték 100 ezer dollárra.

Az IETF Transport Layer Security Working Group 2009. november elején egy súlyos, az SSL/TLS protokollban levő sebezhetőségről értesült: a "Renego" sebezhetőségről.

A TLS klienseknek és a szervereknek is megvan az a képessége, hogy a titkosítási paraméterek frissítését vagy teljes újraegyeztetését kezdeményezze. Ezzel a kulcsok kevésbé kiszámíthatóbbá tehetők, így a lehetséges támadó(k)nak kevesebb információ áll rendelkezésre, vagy ahogy gyakran használják, egy már biztonságos kapcsolaton keresztül egy kliens-tanúsítvánnyal való azonosítást kérnek a felhasználótól. ...

Az online anonimitást biztosító Tor szoftver fejlesztői arra figyelmeztették a felhasználókat, hogy azok mielőbb frissítsék meg Tor szoftverüket a 0.2.1.22-es vagy 0.2.2.7-alpha verziókra. Azért kérték mindezt, mert január közepén azt észlelték, hogy illetéktelenek betörtek három szerverükre. Ezek közül az egyik adott otthont a projekt git és Subversion tárolóinak is.

A First Tech névre hallgató amerikai hitelszövetkezet egy figyelmeztetést adott ki december 22-én, amelyben arra hívja fel a figyelmet, hogy egy, az Android Market-re feltöltött alkalmazást banki adatokat lopására tettek közzé. A figyelmeztetést annak ellenére adták ki, hogy nem kimondottan a First Tech ügyfelei voltak a célpontok. A programot egy Droid99 nicknevű felhasználó töltötte fel. Az alkalmazást a figyelmeztető kiadására már eltávolították az Android Market-ből. A H Security egyik cikke szerint az incidens felveti a kérdést, hogy a Google-nek nem kellene-e ellenőriznie az Android-os alkalmazásokat még azelőtt, hogy letölthetővé válnak az Android Market-ből.